ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования.

ГОСТ Р 53647.2-2009

 НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

 Часть 2

 Требования

 Business continuity management. Part 2. Requirements

ОКС 03.100.01

Дата введения 2010-12-01

 Предисловие     

1 ПОДГОТОВЛЕН Автономной некоммерческой организацией "Научно-исследовательский центр контроля и диагностики технических систем" (АНО "HИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. N 998-ст

4 Настоящий стандарт идентичен национальному стандарту Великобритании BS 25999-2:2007* "Менеджмент непрерывности бизнеса. Часть 2. Требования" (BS 25999-2:2007 "Business continuity management - Part 2: Specification", IDT)

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Май 2020 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

 Введение

Общие положения

Настоящий стандарт устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).

Для достижения этой цели следует учесть следующие важные факторы:

a) осознание потребности в обеспечении непрерывности бизнеса и потребности в установлении политики и целей в области непрерывности бизнеса;

b) внедрение и осуществление средств и мероприятий по управлению совокупным риском при обеспечении непрерывности бизнеса организации;

c) проведение мониторинга и анализа эффективности СМНБ;

d) постоянное улучшение, основанное на достоверных и объективных измерениях.

СМНБ, как любая другая система менеджмента, включает в себя следующие ключевые компоненты:

a) политику;

b) человеческие ресурсы (персонал) с соответствующими обязанностями и полномочиями;

c) процессы менеджмента, которые касаются:

1) политики;

2) планирования;

3) внедрения и функционирования;

4) оценки выполнения работ;

5) анализа менеджмента;

6) улучшения;

d) записи, обеспечивающие свидетельства аудита;

e) специальные процессы, связанные с непрерывностью бизнеса, такие как анализ воздействия на бизнес (АВБ) и разработка плана обеспечения непрерывности бизнеса.

Цикл "планирование - осуществление - проверка - действие" (PDCA)

В настоящем стандарте цикл "планирование - осуществление - проверка - действие" применяется к разработке, внедрению, функционированию, мониторингу, проведению учений, поддержке и постоянному улучшению СМНБ организации.

Применение этого цикла обеспечивает необходимую степень соответствия СМНБ другим стандартам по системам менеджмента, таким как ИСО 9001:2005, ИСО 14001:2004, ИСО/МЭК 27001:2005 и серии ИСО/МЭК 20000, и поддерживает последовательное и интегрированное внедрение и функционирование системы со взаимосвязанными системами менеджмента (см. приложение А).

На рисунке 1 показаны входные данные СМНБ в виде требований к обеспечению непрерывности бизнеса и ожиданий заинтересованных сторон, которые через взаимосвязанные виды деятельности и процессы образуют выходные данные (результаты) обеспечения непрерывности бизнеса (т. е. к управлению непрерывностью бизнеса), которые отвечают этим требованиям и ожиданиям заинтересованных сторон.

Широко распространенный подход, объединяющий цикл PDCA и виды деятельности по обеспечению непрерывности бизнеса, рекомендованные в [12], приведен на рисунке 2. Данный итеративный процесс обеспечивает создание и постоянное управление непрерывностью бизнеса организации (описание элементов жизненного цикла менеджмента непрерывности бизнеса см. в 3.7 [12]).

Требования настоящего стандарта следует применять наряду с нормативными правовыми актами в области обеспечения безопасности, которые имеют обязательную силу на территории Российской Федерации. Нормативно правовые нормы РФ и обязательные процедуры в области обеспечения безопасности должны быть интегрированы в систему менеджмента непрерывности бизнеса организации. По возможности следует избегать дублирования в документации по обеспечению непрерывности бизнеса действующих документов организации.

Рисунок 1 - Применение цикла PDCA к процессам СМНБ

Рисунок 2 - Элементы жизненного цикла менеджмента непрерывности бизнеса

В качестве синонимов термина "менеджмент непрерывности бизнеса" часто используют термины "управление непрерывностью бизнеса", "управление непрерывностью деятельности", "управление бесперебойностью работы". Выбор термина зависит от потребностей организации и требований ее причастных сторон.

      1 Область применения

Настоящий стандарт устанавливает требования к планированию, созданию, внедрению, функционированию, мониторингу, анализу, проведению учений, поддержке и улучшению документированной системы менеджмента непрерывности бизнеса (СМНБ) с позиций управления совокупным риском бизнеса организации.

Установленные в настоящем стандарте требования являются общими и могут быть применены различными организациями (или их отдельными подразделениями), независимо от типа, размера и характера бизнеса. Степень применения этих требований зависит от операционной среды организации и уровня ее сложности.

Настоящий стандарт не содержит типовой структуры СМНБ, организации следует создать СМНБ, соответствующую своим потребностям и требованиям причастных сторон. Эти потребности должны быть определены на основе: законодательных и обязательных требований; требований, установленных потребителями; требований к бизнесу; выпускаемых продукции и услуг; используемых процессов; размера и структуры организации и требований ее причастных сторон.

Настоящий стандарт может быть использован внутренними и внешними сторонами, включая органы по сертификации, для оценки соответствия установленным организацией требованиям к непрерывности бизнеса, соответствующим требованиям потребителей, законодательным и обязательным требованиям.

      2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

2.1 деятельность (activity): Процесс или система процессов, осуществляемых организацией с целью производства одного или более видов продукции, оказания услуг или их поддержки.

Примечание - Примером подобных процессов являются бухгалтерский учет, обеспечение информационных (ИТ) и телекоммуникационных технологий, производство, сбыт.

2.2 аудит (проверка) (audit): Систематический, независимый и документированный процесс получения свидетельств аудита (проверки) и их объективной сравнительной оценки с целью установления степени выполнения согласованных критериев аудита (проверки).

2.3 непрерывность бизнеса (business continuity): Стратегическая и тактическая способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленная на обеспечение непрерывности деловых операций на установленном приемлемом уровне.

2.4 менеджмент непрерывности бизнеса (business continuity management; BCM); МНБ: Полный процесс управления, предусматривающий идентификацию потенциальных угроз и их воздействие на деятельность организации, который создает основу для повышения устойчивости организации к инцидентам и направлен на реализацию эффективных ответных мер против них, что обеспечивает защиту интересов ключевых причастных сторон, репутации организации, ее бренда и деятельности, добавляющей ценность.

Примечание - Менеджмент непрерывности бизнеса включает в себя управление восстановлением или продолжением деятельности организации в случае нарушений в ее работе, а также общей программой обеспечения непрерывности бизнеса организации путем обучения, практического применения и анализа непрерывности бизнеса, направленных на осуществление и актуализацию планов непрерывности бизнеса.

2.5 жизненный цикл менеджмента непрерывности бизнеса (business continuity management lifecycle): Совокупность действий по обеспечению непрерывности бизнеса, которые охватывают все аспекты и элементы программы менеджмента непрерывности бизнеса.

Примечание - Этапы жизненного цикла менеджмента непрерывности бизнеса показаны на рисунке 2.

2.6 персонал менеджмента непрерывности бизнеса (business continuity management personnel): Должностные лица организации, ответственные за политику в области СМНБ и ее реализацию, внедрение и поддержку СМНБ, а также за инициирование планов менеджмента непрерывности бизнеса и планов управления инцидентом, обладающие соответствующими полномочиями.

2.7 программа менеджмента непрерывности бизнеса (business continuity management programme): Процесс постоянного менеджмента, поддерживаемый со стороны высшего руководства и обеспечиваемый необходимыми ресурсами, направленный на осуществление необходимых мер по идентификации воздействия потенциальных потерь, поддержку жизнеспособной стратегии непрерывности бизнеса и планов восстановления бизнеса, а также на обеспечение непрерывности производства продукции и оказания услуг путем обучения и проведения учений, внедрения, анализа и поддержания в рабочем состоянии непрерывности бизнеса организации.

2.8 ответные меры менеджмента непрерывности бизнеса (business continuity management response): Элемент МНБ, направленный на разработку и внедрение соответствующих планов и мер, обеспечивающих непрерывность критических видов деятельности и контролируемость инцидента.

2.9 система менеджмента непрерывности бизнеса; СМНБ (business continuity management system; BCMS): Часть интегрированной системы менеджмента организации, охватывающая создание, внедрение, функционирование, мониторинг, анализ, поддержку и улучшение менеджмента непрерывности бизнеса в организации.

Примечание - СМНБ включает в себя структуру, политику, план действий, распределение ответственности и полномочий, процедуры, процессы и ресурсы организации

2.10 план обеспечения непрерывности бизнеса; ПНБ (business continuity plan; BCP): Набор документированных процедур и информации, которые разработаны, обобщены и актуализированы с целью их использования в случае возникновения инцидента, и направлены на обеспечение возможности продолжения организацией выполнения критически важных для нее видов деятельности на установленном приемлемом уровне.

2.11 стратегия непрерывности бизнеса (business continuity strategy): Способы обеспечения непрерывности бизнеса организации, направленные на восстановление и продолжение ее деятельности в случае инцидентов, вызывающих нарушение в ее работе.

2.12 анализ воздействия на бизнес (business impact analysis): Процесс исследования функционирования бизнеса и последствий воздействия на него разрушающих факторов.

2.13 последствие (consequence): Результат инцидента, который может повлиять на достижение целей организации.

Примечания

1 Для каждого инцидента должно быть проведено ранжирование последствий.

2 Последствия могут быть определенными и неопределенными, а также могут иметь позитивное или негативное воздействие на достижение целей организации.

2.14 анализ эффективности затрат (cost-benefit analysis): Финансово-экономический метод, применение которого позволяет оценить затраты на МНБ, сопоставить их с полученной от его внедрения выгодой.

Примечание - Выгода может быть определена с позиции финансов, репутации, производства продукции, предоставления услуг, выполнения обязательных требований и т.п.

2.15 критические виды деятельности (critical activities): Виды деятельности организации, которые должны осуществляться для обеспечения поставки ключевой продукции и услуг, позволяющие достигать наиболее важных и первоочередных целей организации.

2.16 нарушение деятельности (организации) (disruption): Невозможность поставки продукции или оказания услуг, установленных в соответствии с целями организации, или перебои в этой деятельности, вызванные ожидаемым (например, забастовка рабочих) или непредвиденным (например, отключение электрической энергии) событием или явлением.

2.17 учения (exercise): Мероприятия, в процессе которых частично или полностью проходит отработка действий (репетиция), предусмотренных планом(ами) обеспечения непрерывности бизнеса, направленные на то, чтобы план(ы) содержал(и) необходимую информацию и при выполнении приводили к запланированным результатам.

Примечание - Учения обычно включают в себя инициирование процедуры непрерывности бизнеса, но чаще объявленную или необъявленную имитацию инцидента нарушения непрерывности бизнеса, в процессе которого участники инсценируют возможную ситуацию с целью оценки потенциальных проблем, связанных с их преодолением до наступления реального инцидента.

2.18 выгоды (gain): Положительные последствия.

2.19 воздействие (impact): Оцененные последствия для конкретного случая.

2.20 инцидент (incident): Ситуация, которая может произойти и привести к нарушению деятельности организации, разрушениям, потерям, чрезвычайной ситуации или кризису в бизнесе.

2.21 план управления инцидентом (incident management plan): Точно установленный и документально оформленный план действий, предназначенный для использования при возникновении инцидента, который обычно охватывает вовлеченный персонал, необходимые ресурсы и действия, которые должны быть выполнены в процессе управления инцидентом.

2.22 внутренний аудит (internal audit): Внутренний аудит ("аудит первой стороны") проводит для внутренних целей сама организация (или от своего имени). Результаты внутреннего аудита могут служить основанием для декларации о соответствии.

Примечание - Во многих случаях, особенно на малых предприятиях, независимость при аудите демонстрируют отсутствием ответственности за деятельность, которая подвергается аудиту.

2.23 инициирование работы (invocation): Объявление о приведении в действие плана обеспечения непрерывности бизнеса организации с целью обеспечения бесперебойности поставки ключевой продукции и/или оказания услуг.

2.24 возможность реализации (likelihood): Шансы реализации событий, которые определены, измерены и/или оценены объективно или субъективно в терминах общих описаний (маловероятно, вероятно, почти наверняка), частоты или вероятности.

Примечание - Возможность может быть выражена качественно или количественно.

2.25 потери (loss): Негативные последствия.

2.26 система менеджмента (management system): Система разработки политики, целей и достижения этих целей.

2.27 максимально приемлемый период нарушения (maximum tolerable period of disruption): Период времени, по истечении которого существует угроза окончательной потери жизнеспособности организации, в том случае, если поставка продукции и/или предоставление услуг не будут возобновлены.

2.28 несоответствие (nonconformity): Невыполнение требований.

Примечание - Несоответствие может быть любым отклонением от соответствующих стандартов работы, методов, процедур, юридических требований и т.д.

2.29 организация (organization): Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.

Пример - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.

Примечание

1 Распределение обычно является упорядоченным.

2 Организация может быть государственной или частной.

2.30 процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы

2.31 продукция и услуги (products and services): Результат деятельности организации, который она предоставляет своим потребителям, получателям и причастным сторонам, например, промышленные товары, страхование, медицинское обслуживание и др.

2.32 целевой срок восстановления (recovery time objective); RTO: Время, запланированное для:

- возобновления производства продукции или оказания услуг после инцидента;

- возобновления деятельности после инцидента;

- восстановления информационной системы и/или прикладных программ после инцидента.

Примечание - Целевой срок восстановления должен быть меньше, чем максимально приемлемый период нарушения.

2.33 устойчивость (resilience): Способность организации противостоять воздействию инцидента.

2.34 ресурсы (resources): Все активы, персонал, навыки, технологии (включая технологические процессы и оборудование), производственные площади, запасы и информация (на электронном или бумажном носителе), которые должны быть при необходимости доступны для использования организацией в текущей деятельности и для достижения поставленных целей.

2.35 риск (risk): Сочетание вероятности события и масштабов его последствий, а также его воздействие на достижение целей организации.

Примечания

1 Термин "риск" обычно используют только тогда, когда существует возможность негативных последствий.

2 В некоторых ситуациях риск обусловлен возможностью отклонения от ожидаемого результата.

3 Применительно к безопасности см. [2].

4 Риск обычно определяют по отношению к конкретной цели, поэтому для нескольких целей существует возможность оценить риск для каждого источника опасности.